Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

AntispywareProtector

автор: Administrator | 18 февраля 2009, 01:18 | Просмотров: 4603
теги: Вредоносные программы, Windows, Adware, опасность, Безопасность, реестр



Описание:
Приложение для платформы Windows, заявленное как средство защиты от вредоносных программ. После сканирования системы сообщает о якобы найденных, а на самом деле - несуществующих, вредоносных:
AntispywareProtector


После сканирования системы сообщает о якобы найденных, а на самом деле - несуществующих, вредоносных программах, с целью заставить пользователя заплатить за ключ к якобы лицензионной версии.
AntispywareProtector


Тип вредоносной программы:
Adware

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
средний

Размер:
186 KB

Технические детали:
При старте создает следующие файлы:
* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpy Monitor.lnk
* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpyware Protector.lnk
* %UserProfile%\Desktop\AntiSpy Monitor.lnk
* %UserProfile%\Desktop\AntiSpyware Protector.lnk
* %UserProfile%\Local Settings\Temp\[16 RANDOM NUMBERS].exe
* %UserProfile%\Local Settings\Temp\poupdate[16 RANDOM NUMBERS]
* %UserProfile%\Start Menu\Programs\Startup\AntiSpyware Protector.lnk
* %UserProfile%\Start Menu\Programs\AntiSpyware Protector 2.0.11.01\AntiSpy Monitor.lnk
* %UserProfile%\Start Menu\Programs\AntiSpyware Protector 2.0.11.01\AntiSpyware Protector Home Page.lnk
* %UserProfile%\Start Menu\Programs\AntiSpyware Protector 2.0.11.01\AntiSpyware Protector.lnk
* %UserProfile%\Start Menu\Programs\AntiSpyware Protector 2.0.11.01\Documentation.lnk
* %UserProfile%\Start Menu\Programs\AntiSpyware Protector 2.0.11.01\ReadMe.txt.lnk
* %UserProfile%\Start Menu\Programs\AntiSpyware Protector 2.0.11.01\Uninstall AntiSpyware Protector.lnk
* %ProgramFiles%\AntiSpyware Protector\AntiSpyMon.exe
* %ProgramFiles%\AntiSpyware Protector\AntiSpyProt.chm
* %ProgramFiles%\AntiSpyware Protector\AntiSpyProt.exe
* %ProgramFiles%\AntiSpyware Protector\AntiSpyProt.ini
* %ProgramFiles%\AntiSpyware Protector\AntiSpyProt.lind
* %ProgramFiles%\AntiSpyware Protector\AntiSpyProt.log
* %ProgramFiles%\AntiSpyware Protector\AntiSpyProt_vp.sdb
* %ProgramFiles%\AntiSpyware Protector\AntiSpyware Protector Home Page.url
* %ProgramFiles%\AntiSpyware Protector\aspy_cfg.ini
* %ProgramFiles%\AntiSpyware Protector\ASWhiteList.cfg
* %ProgramFiles%\AntiSpyware Protector\background.jpeg
* %ProgramFiles%\AntiSpyware Protector\ckrdr.exe
* %ProgramFiles%\AntiSpyware Protector\install_stat1.tmp
* %ProgramFiles%\AntiSpyware Protector\pcid.exe
* %ProgramFiles%\AntiSpyware Protector\PDB\[ddmmmyyyy].pdb
* %ProgramFiles%\AntiSpyware Protector\PDB\StartupList.pdb
* %ProgramFiles%\AntiSpyware Protector\ReadMe.txt
* %ProgramFiles%\AntiSpyware Protector\Uninstall.exe
* %ProgramFiles%\AntiSpyware Protector\WAV\Alert.wav
* %ProgramFiles%\AntiSpyware Protector\WAV\Deleted.wav

Создает в реестре ключ, обеспечивающий автозагрузку при каждом старте Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"AntiSpyMon" = "C:\Program Files\AntiSpyware Protector\AntiSpyMon.exe"

Создает также следующие записи в реестре:
* HKEY_CURRENT_USER\Software\ASProtect
* HKEY_CURRENT_USER\Software\AntiSpywareProtector
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Paint
* HKEY_CURRENT_USER\Software\OBA Group
* HKEY_CLASSES_ROOT\CLSID\[RANDOM CLSID]
* HKEY_CLASSES_ROOT\TypeLib\[RANDOM TYPELIB]
* HKEY_LOCAL_MACHINE\SOFTWARE\AntiSpywareProtector
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiSpyware Protector


Как удалить AntispywareProtector:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.




источник:
symantec.com
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.